Чому більшість криптовалют залежить від великих пар простих чисел, на відміну від інших проблем?

Більшість сучасних методів криптографії залежать від складності факторингу чисел, що є добутком двох великих простих чисел. Як я розумію, це складно лише до тих пір, поки метод, який використовується для отримання великих праймерів, не може бути використаний як ярлик до розбиття отриманого складеного числа (а сам факторинг великих чисел є складним).

Схоже, математики час від часу знаходять кращі ярлики, і внаслідок цього системи шифрування повинні періодично оновлюватися. (Існує також ймовірність, що квантові обчислення врешті зроблять факторизацію набагато простішою проблемою, але це не збирається нікого здивувати, якщо технологія наздожене цю теорію.)

Деякі інші проблеми виявляються важкими. Два приклади, які спадають на думку, - це варіанти проблеми з рюкзаком та проблема продавця подорожей.

Я знаю, що Меркле-Хеллман був зламаний, що Насако – Муракамі залишається в безпеці, і що проблеми з рюкзаком можуть бути стійкими до квантових обчислень. (Дякую, Вікіпедія.) Я нічого не знайшов про те, як використовувати проблему продавця для криптографії.

Отже, чому, здається, пари великих прайменів керують криптографією?

• Це просто тому, що наразі легко генерувати пари великих простих чисел, які легко розмножуються, але їх важко розподілити?
• Це тому, що факторингові пари великих прайменів виявляються важкими до передбачуваної міри, що є достатньо хорошою?
• Чи корисні пари великих прайменів в інший спосіб, ніж складність, наприклад, властивість працювати як для шифрування, так і для криптографічного підпису?
• Невже проблема створення наборів проблем для кожного з інших типів проблем, які є досить складними для самої криптографічної мети, занадто складною, щоб бути практичною?
• Чи недостатньо вивчені властивості інших типів проблем, щоб довіряти?
• Інший.

Боаз Барак вирішив це у своєму дописі в блозі

Мій відхід від його посади (грубо кажучи) полягає в тому, що ми лише знаємо, як конструювати криптографічні примітиви, використовуючи обчислювальні проблеми, які мають певну структуру, яку ми використовуємо. Не маючи структури, ми не знаємо, що робити. При занадто великій структурі проблема стає ефективно обчислюваною (таким чином, марною для криптографічних цілей). Здається, що кількість структури має бути точно правильною.

Все, що я збираюся сказати, добре відоме (усі посилання на Вікіпедію), але ось це:

1. Підхід, що використовується в RSA з використанням пар праймерів, також може бути застосований у більш загальних рамках циклічних груп, зокрема у протоколі Діффі-Гельмана , який узагальнює$\left(\mathbb{Z}/pq\mathbb{Z}\right)^{\times}$до довільної групи, особливо еліптичні криві, які менш чутливі до атак, які працюють на цілі числа. Були розглянуті інші групові структури , які можуть бути некомутативними, але жодна з них не набуває широкого застосування AFAIK.

2. Існують й інші підходи до криптографії, зокрема, на основі ґратчастої криптографії, які покладаються на певні важкі проблеми на ґратах (наприклад, пошук точок з малою нормою на ґратах) для впровадження криптографії з відкритим ключем. Цікаво, що деякі з цих систем є важко важкими , тобто можуть бути зламані, якщо і лише тоді, коли відповідна важка проблема в теорії решіток може бути вирішена. Це на відміну від, скажімо, RSA, яка не пропонує тієї самої гарантії . Зауважте, що ґратовий підхід передбачається, що він не є важким NP (але наразі здається складніше, ніж цілочисельний факторинг).

3. Існує окрема стурбованість обміну ключами, а саме таємним виявленням , яке має дуже цікаві властивості теорії складності. Я не знаю подробиць, але теорія протоколів з нульовим знанням дозволяє Алісі , щоб показати Бобу своє знання секрету , який є NP важко вирахувати (графік гамильтониан) , не розплющуючи секрет самого (шлях в даному випадку).

Нарешті, ви можете перевірити сторінку на постквантовій криптографії, щоб побачити деякі альтернативні підходи до криптосистем з відкритим ключем, які покладаються на важкі проблеми.